Пользователь портала Pikabu под ником fennikami уличил официальное приложение сети ресторанов Burger King в шпионаже за пользователями. Программист подтвердил свои слова информативными скриншотами утилиты, демонстрирующей активность клиента Burger King.
По словам fennikami, он запустил приложение на своём iPhone и начал отслеживать активность программы. На скриншоте выше в первом поле показан запрос клиента Burger King к серверу, а в нижнем окне — его ответ. Судя по изображению, сервер указывает приложению, как записывать видео с экрана: посылает информацию о необходимом битрейте, частоте кадров, разрешении и продолжительности съёмки действий на экране. За длительность видеосъёмки отвечает атрибут MaxVideoLength, значение которого равняется нулю. Иными словами, видео записывается без ограничений по времени — даже тогда, когда пользователь вводит реквизиты банковской карты (это необходимо делать для совершения заказа через мобильное приложение). Помимо прочего, сервер указывает ещё и необходимость записи прикосновений к экрану, а впоследствии сопоставляет их с видеозаписью.
Проанализировав активность программы от Burger King детальнее, fennikami выявил веб-адрес, куда отправляются записанные видео (а, точнее, транслируются в режиме реального времени) — на *.appsee.com/upload. AppSee — аналитическая платформа, позволяющая оценивать действия пользователей в приложениях. По сообщению fennikami, данный сервис делится собранной статистикой не только с компанией-заказчиком (в данном случае с Burger King), но и со своими многочисленными партнёрами.
Скриншот из видео, передаваемого клиентом Burger King
на сервера AppSee
Даже если AppSee использует такую слежку за пользователями только в целях сбора статистики для рекламы, персональные данные людей всё равно в опасности. Если верить fennikami, эта аналитическая платформа не имеет SSL-сертификита (certificate pinning), из-за чего злоумышленники могут без особого труда перехватить передаваемые между приложением и сервером данные.
Согласно информации из официального сайта AppSee, данный сервис сотрудничает с eBay, Samsung, 1-800 Contacts и другими. Исходя из политики конфиденциальности этой аналитической платформы, личные данные пользователей (реквизиты банковских карт) не записываются в том случае, если заказчик (Burger King) потребовал это. Хоть fennikami и заявил, что съёмка видео с экрана идёт даже при оформлении заказа, никаких подтверждений этому пользователь не предоставил.
Обновлено: пресс-служба Burger King сообщила изданию VC, что их приложение действительно подключено к сервису AppSee, но ни о каком сборе персональных данных речи не идёт. Эта аналитическая платформа используется разработчиками лишь для понимания того, какие компоненты приложения следует доработать или изменить. Сервис не записывает данные банковских карт и не может получить к ним доступ, поскольку они передаются в обезличенном виде. Услуги AppSee используются на менее чем 10% пользователей. Любой клиент Burger King может отказаться от мониторинга его действий обращением в техническую поддержку.
Маркетологи не спят
Статья ни о чем — такая статистика в каждом втором приложении, данные карт, как и другие поля, не записываются — все эти поля при отправке закрашиваются.